• 搜索
官方微信群 扫码添加,拉你进群
订阅号
服务号
跨境资讯

为你推送和解读最前沿、最有料的跨境电商资讯

90% 亚马逊卖家都在关注的微信公众号

精选今日跨境电商头条资讯

节假日亚马逊店铺管理和操作设置-[创蓝经验]

网商动力
网商动力(https://www.eckey.cn)跨境电商,致力于提供一手资讯、干货知识。
2016-01-14 15:29:10
24

近日,在e-Bay网站出现的一个严重的漏洞,该漏洞为恶意黑客分子通过创建假的登录界面的方式来盗取用户密码和电子票据等资料提供了可乘之机。


12月初,一位独立安全研究员发现了该漏洞,并在12月11号将该情况向e-Bay网站做了汇报。在得到了首次答复之后,第二天该研究员想继续跟进,获得更多关于该漏洞的最新情况时,e-Bay却不再对研究员的电子邮件进行回复。直到上周,Motherboard联系eBay询问情况时,他们都还没对该漏洞进行修复。


“任何人都可以利用该漏洞入侵e-Bay网的个人用户,从而可以控制他们的账户,同时通过给e-Bay上百万甚至上千万的用户发送精心打造的钓鱼电子邮件,来骗取电子票据,盗取数额巨大的用户资金。”该名叫做MLT的研究员说道。


上周,MLT告诉了我这个漏洞的情况。周一时候,他发表了一篇博文,来具体阐述该漏洞的成因及其影响。在演示视频中,MLT用一个像e-Bay普通URL的钓鱼链接,来登录e-Bay。通过钓鱼链接制造的这个假登陆界面,实际上还是由e-Bay系统在管理,除了URL不同之外,页面看起来几乎完全与真正的e-Bay用户登录界面相同。



当我在MLT所做的钓鱼网站上输入自己的用户名和密码,点击登录时,网站会弹出一个页面,显示登录错误。与此同时,他盗取了我的用户凭证。他正是利用了一个叫做cross-scripting的技术漏洞,来制造了这个钓鱼页面。(MLT同时指出在YouTube的视频中也存在着漏洞)。


这是一种常见的网页漏洞,即人们所熟知的XSS(跨站脚本攻击:恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。)过去,很多网站都曾遭受到XSS攻击。这其中最著名的案列应该就是Samy Kamkar的攻击实例了。Samy Kamkar,一个在当时只有十多岁的孩子,利用社交网络上存在的XSS漏洞,他制造了一种能够自我复制的蠕虫病毒,感染了超过100万的MySpace用户,使他们自动成为他的好友。在这之后,Kamkar被判入狱3年。以上就是这名传奇黑客的事迹。当然,现在他已经成为一名众所周知的安全研究员了。这一事件,将Kamkar永远地被钉在了法律的十字架上,彻底地改变了互联网的发展史。从那时起,所有网站不得不认真对待XSS漏洞。


去年,e-Bay公司就已经发现了在自己的网站上存在着危险的XSS漏洞,并且也花了一年的时间来解决问题。



“他们已经没有必要去找任何的借口,来掩饰自己的关键领域正遭受XSS漏洞的威胁这一事实”MLT和我在一个加密软件上聊天时说道,“现在进入2016年了,我们已经掌握了许多技术来预防XSS的攻击。在过去,许多网站都存在XSS漏洞。Facebook就是其中之一。但现在黑客想要在Facebook找出一个XSS漏洞来进行攻击已经变得极其困难,因为Facebook网站工程师们已经找到正确的措施来维护网站的安全。我所不能理解的是,为什么e-Bay还在走过去的老路,没对网站的维护做出任何的改进。”


他补充说道,“他们不应该允许任何人进行链接重定向来定位到JavaScript。”

一位安全分析师指出,该XSS漏洞确实存在,但MLT的这种做法就有点哗众取宠的意味了。另一位安全专家,High-Tech Bridge公司的创始人及CEO,Ilia Kolochenko,说道,现在Web应用程序仍然容易受到XSS漏洞威胁,已经不足为奇了。建立一个完整的网站体系,列出存在隐患的网站,找到相应措施对其进行维护,这才是我们所需要做的。


上周,e-Bay公司发言人,Ryan Moore表示,公司将会致力于为世界各地数百万的e-Bay用户创造一个安全可靠的市场环境,同时公司还会采取措施尽快修复该漏洞,确保用户数据安全。Moore同时还对MLT的回应事件作出了解释,他说,这其中存在着误会,因为MLT在最初报告漏洞情况时,使用了不同的电子邮件名,让我们误以为是黑客所为。


周一时候,MLT告知Motherboard公司,经过他的测试证实,该bug已经被修复。之后,e-Bay发声明说,该bug已经修复。同时,还要表示对MLT和一些友好黑客关于网页页面bug报告的感谢。


不是所有人都会对这一漏洞进行深入的研究。MLT首先发现这一bug,当然,也可能会是其他人发现,但问题就在于,其他人很可能就会利用这一漏洞进行恶意攻击,而MLT却不会。作为一个网站用户,养成良好的习惯,谨慎对待突然弹出的电子邮件链接,时常检查所要访问的URL是否正确,这是非常重要的。如果一旦发现有什么异常,这很有可能就是一个骗局在等着你,必须提高警惕。


(本文来源:360安全播报,内容不代表本号观点,如有侵权,请及时与我们联系予以删除。




二维码
我们建了一个亚马逊卖家交流群,里面不乏很多大卖家。
现在扫码回复“ 加群 ”,拉你进群。
目前30万+人已关注加入我们
声明:此文章来源于网络,不代表网商动力立场。如有侵权,请联系我们。
快给朋友分享吧!
0 赞
最新
跨境电商VS传统贸易:全方位对比分析,探索贸易模式的优劣
跨境电商VS传统贸易:全方位对比分析,探索贸易模式的优劣
跨境电商与传统贸易:全面对比分析,揭示贸易模式的优劣 随着全球化和互联网技术的发展,跨境电商与传统贸易成为了两种主要的国际贸易方式。本文将从多个角度对这两种...
跨境电商仓储成本解析:每月仓储费用大揭秘
跨境电商仓储成本解析:每月仓储费用大揭秘
跨境电商仓储成本解析:每月费用大揭秘 在跨境电商领域,仓储成本是影响企业利润的重要因素之一。了解并优化这些成本对于提高竞争力至关重要。本文将深入探讨跨境电...
跨境电商货源探源:揭秘跨境电商的多元化进货渠道
跨境电商货源探源:揭秘跨境电商的多元化进货渠道
跨境电商找货源的五大策略 在全球化浪潮的推动下,跨境电商行业蓬勃发展。对于每一个涉足此领域的商家来说,寻找到合适的货源是成功的关键之一。本文将分享五个实用...
跨境电商与外贸跟单对比分析:哪个更具前景
跨境电商与外贸跟单对比分析:哪个更具前景
跨境电商与外贸跟单:未来发展前景对比分析 随着全球化的不断深入,国际贸易形式也在不断演变。其中,跨境电商和传统的外贸跟单模式作为两种主要的贸易方式,各自拥有不...
从零开始学跨境电商:打造独立站详细教程,新手入门指南
从零开始学跨境电商:打造独立站详细教程,新手入门指南
独立站跨境电商指南:打造个性化品牌与全球市场拓展 在当今数字化时代,跨境电子商务已成为连接全球消费者与商家的重要桥梁。虽然大型跨境电商平台为众多卖家提供了...
跨境电商新手卖什么?跨境电商最赚钱好卖的产品
跨境电商新手卖什么?跨境电商最赚钱好卖的产品
跨境电商入门指南:新手卖家必知的爆款产品推荐 在跨境电商领域,选择合适的产品对于新手卖家来说至关重要。本文将为您介绍一些适合新手销售的爆款产品,帮助您快速进...
Copyright ? 2016-2022 ? ? 亚马逊卖家导航? ? 晋ICP备20005961号-2 声明:网站上的服务均为第三方提供,与网商动力无关。请用户注意甄别服务质量,避免上当受骗。